{"id":69,"date":"2026-06-12T04:21:34","date_gmt":"2026-06-12T04:21:34","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/12\/cyber-resilience-act-amende-2026\/"},"modified":"2026-06-12T04:22:54","modified_gmt":"2026-06-12T04:22:54","slug":"cyber-resilience-act-amende-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/12\/cyber-resilience-act-amende-2026\/","title":{"rendered":"Cyber Resilience Act : 15 M\u20ac d’amende [2026]"},"content":{"rendered":"\n

Le compte \u00e0 rebours est lanc\u00e9. Le Cyber Resilience Act<\/strong> (r\u00e8glement europ\u00e9en 2024\/2847), entr\u00e9 en vigueur le 10 d\u00e9cembre 2024, franchit en 2026 ses premiers paliers contraignants. Depuis le 11 juin 2026, les r\u00e8gles encadrant les organismes d’\u00e9valuation de la conformit\u00e9 s’appliquent. \u00c0 partir du 11 septembre 2026, tout fabricant devra signaler sous 24 heures une vuln\u00e9rabilit\u00e9 activement exploit\u00e9e. Et au 11 d\u00e9cembre 2027, aucun produit num\u00e9rique vendu en Europe ne pourra porter le marquage CE sans respecter le texte. \u00c0 la cl\u00e9 pour les contrevenants : jusqu’\u00e0 15 millions d’euros d’amende ou 2,5 % du chiffre d’affaires mondial.<\/p>\n\n\n\n

Pour la France, qui cumule plus de 300 services pirat\u00e9s et 250 millions de donn\u00e9es expos\u00e9es depuis janvier 2026 selon les recensements ind\u00e9pendants, l’enjeu d\u00e9passe la simple conformit\u00e9. Le Cyber Resilience Act<\/strong> redessine la responsabilit\u00e9 de toute la cha\u00eene logicielle, des g\u00e9ants du cloud aux mainteneurs open source b\u00e9n\u00e9voles. Analyse d’un r\u00e8glement qui va co\u00fbter cher, rapporter davantage, et bousculer un march\u00e9 de la cybers\u00e9curit\u00e9 europ\u00e9en estim\u00e9 \u00e0 plusieurs dizaines de milliards d’euros.<\/p>\n\n\n\n

Cyber Resilience Act : ce que dit vraiment le r\u00e8glement 2024\/2847<\/h2>\n\n\n\n

Le Cyber Resilience Act<\/strong> est le premier texte horizontal au monde \u00e0 imposer des exigences de cybers\u00e9curit\u00e9 \u00e0 l’ensemble des \u00ab produits comportant des \u00e9l\u00e9ments num\u00e9riques \u00bb. La d\u00e9finition est volontairement large : tout mat\u00e9riel ou logiciel dont l’usage pr\u00e9vu, ou raisonnablement pr\u00e9visible, inclut une connexion directe ou indirecte de donn\u00e9es. Cela englobe les objets connect\u00e9s, les routeurs, les cam\u00e9ras de surveillance, les applications mobiles, les biblioth\u00e8ques logicielles, les syst\u00e8mes d’exploitation et m\u00eame les jouets intelligents.<\/p>\n\n\n\n

Publi\u00e9 au Journal officiel de l’Union europ\u00e9enne le 20 novembre 2024, le r\u00e8glement (EU) 2024\/2847 est devenu juridiquement effectif le 10 d\u00e9cembre 2024. Contrairement \u00e0 une directive comme NIS2, qui exige une transposition par chaque \u00c9tat membre, un r\u00e8glement s’applique directement et uniform\u00e9ment dans les 27 pays. La Commission europ\u00e9enne, \u00e0 travers le portefeuille d\u00e9sormais pilot\u00e9 par Henna Virkkunen, vice-pr\u00e9sidente ex\u00e9cutive charg\u00e9e de la souverainet\u00e9 technologique, de la s\u00e9curit\u00e9 et de la d\u00e9mocratie, en a fait une pi\u00e8ce ma\u00eetresse de sa strat\u00e9gie num\u00e9rique.<\/p>\n\n\n\n

Le principe est simple \u00e0 \u00e9noncer, complexe \u00e0 appliquer : la s\u00e9curit\u00e9 devient une obligation produit, pas une option ajout\u00e9e apr\u00e8s la vente. Un fabricant doit int\u00e9grer la cybers\u00e9curit\u00e9 d\u00e8s la conception, documenter les risques, livrer des correctifs pendant toute la dur\u00e9e de vie du produit, et ne commercialiser aucun appareil contenant une vuln\u00e9rabilit\u00e9 connue non corrig\u00e9e.<\/p>\n\n\n\n

Le calendrier d’application : trois dates qui changent tout<\/h2>\n\n\n\n

La mise en \u0153uvre du Cyber Resilience Act<\/strong> est \u00e9chelonn\u00e9e pour laisser aux entreprises le temps de s’adapter. Trois jalons structurent ce calendrier, et deux d’entre eux tombent en 2026, ce qui explique l’intensit\u00e9 des recherches sur le sujet en France et en Europe.<\/p>\n\n\n\n

Date<\/th>\u00c9tape<\/th>Obligation d\u00e9clench\u00e9e<\/th><\/tr><\/thead>
10 d\u00e9cembre 2024<\/td>Entr\u00e9e en vigueur<\/td>Le r\u00e8glement devient juridiquement contraignant, d\u00e9but de la p\u00e9riode de transition<\/td><\/tr>
11 juin 2026<\/td>Organismes notifi\u00e9s<\/td>Les r\u00e8gles sur les organismes d’\u00e9valuation de la conformit\u00e9 s’appliquent<\/td><\/tr>
11 septembre 2026<\/td>Signalement obligatoire<\/td>Notification sous 24 h des vuln\u00e9rabilit\u00e9s exploit\u00e9es et incidents graves \u00e0 l’ENISA et au CERT-FR<\/td><\/tr>
11 d\u00e9cembre 2027<\/td>Application compl\u00e8te<\/td>Tous les produits mis sur le march\u00e9 doivent \u00eatre conformes et porter le marquage CE<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

L’\u00e9ch\u00e9ance du 11 septembre 2026 est la plus imm\u00e9diate et la plus redout\u00e9e. D\u00e8s cette date, un fabricant qui d\u00e9couvre qu’une faille de son produit est activement exploit\u00e9e dispose de 24 heures pour alerter l’Agence de l’Union europ\u00e9enne pour la cybers\u00e9curit\u00e9 (ENISA) et l’autorit\u00e9 nationale comp\u00e9tente, en France le CERT-FR. Un premier rapport d’alerte pr\u00e9coce, puis un rapport de notification, puis un rapport final viennent compl\u00e9ter ce dispositif. Cette m\u00e9canique de signalement rapproche le CRA des obligations d\u00e9j\u00e0 impos\u00e9es aux op\u00e9rateurs critiques par la directive NIS2.<\/p>\n\n\n\n

Amendes jusqu’\u00e0 15 millions d’euros : le r\u00e9gime de sanctions<\/h2>\n\n\n\n

Le Cyber Resilience Act<\/strong> ne se contente pas de fixer des r\u00e8gles, il pr\u00e9voit des sanctions calibr\u00e9es pour faire mal. Le plafond le plus \u00e9lev\u00e9 atteint 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial de l’exercice pr\u00e9c\u00e9dent, le montant le plus \u00e9lev\u00e9 des deux \u00e9tant retenu. Ce bar\u00e8me vise les manquements aux exigences essentielles de cybers\u00e9curit\u00e9, c’est-\u00e0-dire le c\u0153ur du texte.<\/p>\n\n\n\n

D’autres niveaux d’amende existent pour des infractions moins graves, par exemple 10 millions d’euros ou 2 % du chiffre d’affaires pour le non-respect d’autres obligations, et 5 millions d’euros ou 1 % pour la fourniture d’informations incorrectes ou trompeuses aux autorit\u00e9s. Au-del\u00e0 des amendes, les autorit\u00e9s de surveillance du march\u00e9 peuvent ordonner le retrait ou le rappel d’un produit non conforme, une sanction commerciale potentiellement plus lourde que l’amende elle-m\u00eame pour un fabricant de masse.<\/p>\n\n\n\n

En France, c’est l’Agence nationale des fr\u00e9quences (ANFR) qui h\u00e9rite de la mission de surveillance du march\u00e9, tandis que l’ANSSI pilote l’accr\u00e9ditation et la notification des organismes d’\u00e9valuation. Cette r\u00e9partition, inhabituelle, illustre la mani\u00e8re dont le CRA force les \u00c9tats \u00e0 r\u00e9organiser leurs administrations pour absorber un texte transversal.<\/p>\n\n\n\n

Trois classes de risque : du grille-pain connect\u00e9 au pare-feu critique<\/h2>\n\n\n\n

Tous les produits ne se valent pas aux yeux du Cyber Resilience Act<\/strong>. Le r\u00e8glement classe les produits comportant des \u00e9l\u00e9ments num\u00e9riques en plusieurs ensembles, selon leur niveau de risque et leur r\u00f4le dans la cha\u00eene de s\u00e9curit\u00e9. Cette gradation d\u00e9termine la rigueur de l’\u00e9valuation de conformit\u00e9 exig\u00e9e avant la mise sur le march\u00e9.<\/p>\n\n\n\n

Cat\u00e9gorie<\/th>Exemples de produits<\/th>Part estim\u00e9e du march\u00e9<\/th>Mode d’\u00e9valuation<\/th><\/tr><\/thead>
Par d\u00e9faut<\/td>Applications, jeux, traitement de texte, enceintes connect\u00e9es<\/td>Environ 90 %<\/td>Auto-\u00e9valuation par le fabricant<\/td><\/tr>
Important Classe I<\/td>Gestionnaires de mots de passe, antivirus, navigateurs, routeurs domestiques<\/td>Quelques pourcents<\/td>Auto-\u00e9valuation avec norme harmonis\u00e9e ou tierce partie<\/td><\/tr>
Important Classe II<\/td>Pare-feu, syst\u00e8mes de d\u00e9tection d’intrusion, hyperviseurs<\/td>Quelques pourcents<\/td>\u00c9valuation obligatoire par tierce partie<\/td><\/tr>
Critique<\/td>Modules de s\u00e9curit\u00e9 mat\u00e9riels (HSM), compteurs intelligents, cartes \u00e0 puce<\/td>Marginal<\/td>Certification europ\u00e9enne renforc\u00e9e<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La grande majorit\u00e9 des produits, environ 90 %, rel\u00e8vent de la cat\u00e9gorie \u00ab par d\u00e9faut \u00bb et peuvent faire l’objet d’une simple auto-\u00e9valuation. Cette proportion rassure les \u00e9diteurs : elle signifie que la plupart des logiciels n’auront pas besoin d’un audit externe co\u00fbteux. Mais elle ne dispense personne des exigences de fond, \u00e0 savoir la gestion des vuln\u00e9rabilit\u00e9s, la documentation technique et la fourniture de mises \u00e0 jour de s\u00e9curit\u00e9. Les produits \u00ab importants \u00bb et \u00ab critiques \u00bb subissent au contraire un contr\u00f4le renforc\u00e9, qui peut impliquer un organisme tiers notifi\u00e9.<\/p>\n\n\n\n

Le marquage CE \u00e9tendu \u00e0 la cybers\u00e9curit\u00e9<\/h2>\n\n\n\n

Le sigle CE, familier sur les jouets et l’\u00e9lectrom\u00e9nager, devient un marqueur de cybers\u00e9curit\u00e9. \u00c0 partir du 11 d\u00e9cembre 2027, un produit comportant des \u00e9l\u00e9ments num\u00e9riques ne pourra arborer le marquage CE qu’\u00e0 condition de respecter les exigences essentielles du Cyber Resilience Act<\/strong>. Pour le consommateur europ\u00e9en, c’est un signal visuel in\u00e9dit : le m\u00eame logo qui garantissait l’absence de risque \u00e9lectrique attestera d\u00e9sormais d’un niveau minimal de robustesse face aux cyberattaques.<\/p>\n\n\n\n

Concr\u00e8tement, le fabricant doit constituer une documentation technique, mener une \u00e9valuation des risques, r\u00e9diger une d\u00e9claration de conformit\u00e9 UE et apposer le marquage. Pour les produits \u00ab importants \u00bb de Classe II et les produits \u00ab critiques \u00bb, un organisme notifi\u00e9 intervient. La logique est calqu\u00e9e sur le \u00ab nouveau cadre l\u00e9gislatif \u00bb europ\u00e9en qui r\u00e9git d\u00e9j\u00e0 la s\u00e9curit\u00e9 physique des produits, ce qui facilite l’int\u00e9gration du CRA dans les processus industriels existants.<\/p>\n\n\n\n

Cette extension du marquage CE a une port\u00e9e extraterritoriale. Un fabricant am\u00e9ricain ou asiatique qui souhaite vendre en Europe devra s’y plier, exactement comme le RGPD a impos\u00e9 ses standards de protection des donn\u00e9es au-del\u00e0 des fronti\u00e8res de l’Union. Le CRA s’applique en fonction du march\u00e9 de destination, pas du lieu de production.<\/p>\n\n\n\n

Impact \u00e9conomique : 290 milliards d’euros de cybercriminalit\u00e9 vis\u00e9s<\/h2>\n\n\n\n

Pourquoi un texte aussi contraignant ? Parce que le co\u00fbt de l’inaction est vertigineux. L’analyse d’impact de la Commission europ\u00e9enne, cit\u00e9e \u00e0 de multiples reprises dans les travaux pr\u00e9paratoires du Cyber Resilience Act<\/strong>, chiffre le co\u00fbt annuel de la cybercriminalit\u00e9 dans l’Union \u00e0 environ 290 milliards d’euros. Face \u00e0 ce fardeau, Bruxelles estime que le r\u00e8glement pourrait r\u00e9duire le co\u00fbt des incidents de 180 \u00e0 290 milliards d’euros par an une fois pleinement d\u00e9ploy\u00e9.<\/p>\n\n\n\n

Ces chiffres expliquent l’app\u00e9tit des dirigeants pour la cybers\u00e9curit\u00e9. Selon les perspectives 2026 publi\u00e9es par l’\u00e9cole Guardia, 65 % des dirigeants fran\u00e7ais pr\u00e9voient d’investir dans la cybers\u00e9curit\u00e9 cette ann\u00e9e. Le CRA agit comme un acc\u00e9l\u00e9rateur de cette dynamique : en transformant la s\u00e9curit\u00e9 en obligation l\u00e9gale, il d\u00e9place la d\u00e9pense du registre du \u00ab confort \u00bb vers celui de la conformit\u00e9 incompressible.<\/p>\n\n\n\n

Le revers de la m\u00e9daille, c’est le co\u00fbt de mise en conformit\u00e9. Documentation, gestion des vuln\u00e9rabilit\u00e9s, tests, certification tierce pour les produits sensibles : la facture grimpe vite, surtout pour les PME et les \u00e9diteurs de logiciels \u00e0 faible marge. Plusieurs analyses juridiques, dont celles d’Alston & Bird et de Hogan Lovells, soulignent que les petites structures pourraient supporter un co\u00fbt proportionnellement plus lourd que les grands groupes, d\u00e9j\u00e0 rod\u00e9s aux r\u00e9f\u00e9rentiels de s\u00e9curit\u00e9.<\/p>\n\n\n\n

Open source : la grande inqui\u00e9tude des mainteneurs b\u00e9n\u00e9voles<\/h2>\n\n\n\n

Le point le plus d\u00e9battu du Cyber Resilience Act<\/strong> concerne le logiciel libre. Une part \u00e9crasante de l’infrastructure num\u00e9rique mondiale repose sur des composants open source maintenus par des b\u00e9n\u00e9voles ou de petites fondations. Soumettre ces mainteneurs au m\u00eame r\u00e9gime que des multinationales aurait pu ass\u00e9cher l’\u00e9cosyst\u00e8me. Sous la pression de la communaut\u00e9, le texte final introduit des am\u00e9nagements.<\/p>\n\n\n\n

Les d\u00e9veloppeurs open source non commerciaux \u00e9chappent au r\u00e9gime de sanctions. Le r\u00e8glement cr\u00e9e par ailleurs la notion de \u00ab gestionnaire de logiciel libre \u00bb (open source software steward), une cat\u00e9gorie aux obligations all\u00e9g\u00e9es par rapport au fabricant classique. L’Open Source Security Foundation (OpenSSF) et la Fondation Eclipse ont men\u00e9 un travail de plaidoyer intense pour clarifier ce p\u00e9rim\u00e8tre, tout en alertant sur la charge qui p\u00e8se encore sur les mainteneurs dont le code finit dans des produits commerciaux.<\/p>\n\n\n\n

La fronti\u00e8re reste d\u00e9licate. D\u00e8s qu’un composant libre est int\u00e9gr\u00e9 dans un produit vendu, c’est le fabricant commercial qui porte la responsabilit\u00e9 de la conformit\u00e9. Mais cela suppose que les mainteneurs amont produisent une documentation de s\u00e9curit\u00e9, des nomenclatures logicielles (SBOM) et des correctifs en temps voulu. L’enjeu, pour 2026 et 2027, sera de faire \u00e9merger des outils mutualis\u00e9s capables d’industrialiser cette mise en conformit\u00e9 sans \u00e9puiser les communaut\u00e9s.<\/p>\n\n\n\n

CRA, NIS2, RGPD : comment s’articulent les textes europ\u00e9ens<\/h2>\n\n\n\n

Le Cyber Resilience Act<\/strong> n’arrive pas dans un vide r\u00e9glementaire. Il s’ajoute \u00e0 un arsenal europ\u00e9en d\u00e9j\u00e0 dense, ce qui cr\u00e9e des chevauchements que les juristes scrutent de pr\u00e8s. La r\u00e8gle g\u00e9n\u00e9rale est la compl\u00e9mentarit\u00e9 : chaque texte couvre un angle diff\u00e9rent du m\u00eame probl\u00e8me de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n